[server] AWS EC2 인스턴스 메타 데이터 API에 대한 호출을 방지 / 방화하는 방법은 무엇입니까?

AWS EC2 인스턴스 메타 데이터 API는 유용한 많은 기능을 제공합니다. 실제 EC2 인스턴스의 모든 사용자는 전화를 걸고 http://169.254.169.254/해당 인스턴스의 메타 데이터를 볼 수 있습니다 . API의 보안은 호출이 인스턴스에서 발생하는지 확인하는 것입니다. 따라서 누군가가 내 인스턴스에서 코드를 실행하도록 허용하면 액세스를 유지하면서 특정 URL에 대한 액세스를 가장 잘 차단하는 방법을 알고 싶습니다.

하이라이트로 메타 데이터 API에 액세스 할 수 있다는 사실에 놀랐습니다 http://instance-data/.

이 인스턴스에서 실행되는 모든 코드가 호출하는 URL을 검사 할 수는 있지만 IPv6 주소 (아마도) 또는 메타 데이터 IP (169.254)로 해석되는 이상한 URI 인코딩이 좋은 접근 방식이 아니라고 가정합니다. .169.254) 또는 문서화되지 않은 URL처럼 보입니다 http://instance-data/.



답변

방화벽을 해제하십시오.

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

이 규칙은 루트 사용자 이외의 사용자가 169.254.169.254에 대한 연결을 열 수 없도록합니다.


답변